在 Microsoft Sentinel 中使用活頁簿將您的資料視覺化並加以監視

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

將資料來源連線到 Microsoft Sentinel 之後,請在 Microsoft Sentinel 中使用活頁簿將資料視覺化並加以監視。 Microsoft Sentinel 活頁簿的基礎是 Azure 監視器活頁簿,並且會將具有記錄和查詢分析的資料表和圖表新增至 Azure 中已有的工具。

Microsoft Sentinel 可讓您建立跨資料的自訂活頁簿,或使用套裝解決方案所提供的現有活頁簿範本或是來自內容中樞以獨立內容形式存在的現有活頁簿範本。 每個活頁簿都是一個 Azure 資源,就像任何其他資源一樣,而且您可以向其指派 Azure 角色型存取控制 (RBAC) 以定義和限制可存取活頁簿的人員。

本文說明如何在 Microsoft Sentinel 中使用活頁簿將您的資料視覺化。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

  • 在 Microsoft Sentinel 工作區的資源群組上,您至少必須擁有活頁簿讀者活頁簿參與者權限。

    您在 Microsoft Sentinel 中看到的活頁簿會儲存在 Microsoft Sentinel 工作區的資源群組內,並由其建立所在的工作區加以標記。

  • 若要使用活頁簿範本,請安裝包含活頁簿的解決方案,或安裝來自內容中樞以獨立項目存在的活頁簿。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容

從範本建立活頁簿

使用從內容中樞安裝的範本來建立活頁簿。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [活頁簿]
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[活頁簿]

  2. 移至 [活頁簿],然後選取 [範本] 以查看已安裝的活頁簿範本清單。

    若要查看哪些範本與您連結的資料類型相關,請檢閱每個活頁簿中的 [所需的資料類型] 欄位 (如果有的話)。

  3. 從範本詳細資料窗格選取 [儲存],並選取要在其中儲存範本 JSON 檔案的位置。 此動作會根據相關範本建立 Azure 資源,並儲存活頁簿的 JSON 檔案,而非儲存資料。

  4. 從範本詳細資料窗格中選取 [檢視已儲存的活頁簿]

  5. 選取活頁簿工具列中的 [編輯] 按鈕,以根據您的需求自訂活頁簿。

    顯示所儲存活頁簿的螢幕擷取畫面。

    例如,選取 TimeRange 篩選條件,以檢視與目前選取的時間範圍不同的資料。 若要編輯特定的活頁簿區域,請選取 [編輯] 或選取省略號 (...),以新增元素,或移動、複製或移除區域。

    若要複製活頁簿,請選取 [另存新檔]。 在相同訂用帳戶和資源群組下以其他名稱儲存複製品。 複製的活頁簿會顯示在 [我的活頁簿] 索引標籤下方。

  6. 當您完成時,請選取 [儲存] 以儲存您的變更。

如需詳細資訊,請參閱

建立新的活頁簿

在 Microsoft Sentinel 中從頭開始建立活頁簿。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [活頁簿]
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[活頁簿]

  2. 選取 [新增活頁簿]

  3. 若要編輯活頁簿,請選取 [編輯],然後視需要新增文字、查詢和參數。 如需如何自訂活頁簿的詳細資訊,請參閱如何使用 Azure 監視器活頁簿建立互動式報表

    顯示新活頁簿的螢幕擷取畫面。

  4. 在建置查詢時,將 [資料來源] 設定為 [記錄],並將 [資源類型] 設定為 [Log Analytics],然後選擇一或多個工作區。

    我們建議您的查詢使用進階安全性資訊模型 (ASIM) 剖析器,而非內建資料表。 查詢便會支援任何目前或未來的相關資料來源,而非單一資料來源。

  5. 在建立活頁簿後,將活頁簿儲存在 Microsoft Sentinel 工作區的訂用帳戶和資源群組底下。

  6. 如果您想要讓組織中的其他人使用活頁簿,請在 [儲存至] 底下,選取 [共用報表]。 如果您想要讓此活頁簿僅供您使用,請選取 [我的報表]

  7. 若要在工作區中的活頁簿之間切換,請在任何活頁簿的工具列中,選取 [開啟] 開啟活頁簿的圖示。。 畫面會切換至您可以切換的其他活頁簿清單。

    選取您要開啟的活頁簿:

    切換活頁簿。

為活頁簿建立新的圖格

若要將自訂圖格新增至 Microsoft Sentinel 活頁簿,請先在 Log Analytics 中建立圖格。 如需詳細資訊,請參閱 Log Analytics 中的視覺效果資料

在建立圖格後,選取 [釘選],然後選取要顯示圖格的活頁簿。

重新整理您的活頁簿資料

重新整理您的活頁簿以顯示更新的資料。 在工具列中,選取下列其中一個選項:

  • 重新整理,以手動重新整理活頁簿資料。

  • 自動重新整理,以將活頁簿設定為在設定的間隔自動重新整理。

    • 支援的自動重新整理間隔範圍從 5 分鐘1 天

    • 自動重新整理會於編輯活頁簿時暫停,其間隔會於每次自編輯模式切換回檢視模式時重新啟動。

    • 如果您手動重新整理資料,也會重新開始自動重新整理間隔。

    依預設會關閉自動重新整理。 為了將效能最佳化,每次關閉活頁簿時,便會關閉自動重新整理。 自動重新整理不會在背景中執行。 下一次開啟活頁簿時,請視需求重新開啟自動重新整理。

若要列印活頁簿,或將其儲存為 PDF,請使用活頁簿標題右側的選項功能表。

  1. 選取選項 > [列印內容]

  2. 在列印畫面中,視需要調整您的列印設定,或選取 [儲存為 PDF] 將其儲存在本機。

    例如:

    顯示如何列印活頁簿或另存為 PDF 的螢幕擷取畫面。

如何刪除活頁簿

若要刪除已儲存的活頁簿 (已儲存的範本或自訂活頁簿),請選取您想要刪除的已儲存活頁簿,然後選取 [刪除]。 此動作會移除已儲存的活頁簿。 其也會移除活頁簿資源,以及您對範本所做的任何變更。 原始範本仍可供使用。

活頁簿建議

本節會檢閱我們針對使用 Microsoft Sentinel 活頁簿所提供的基本建議。

新增 Microsoft Entra ID 活頁簿

如果您搭配使用 Microsoft Entra ID 與 Microsoft Sentinel,建議您安裝適用於 Microsoft Sentinel 的 Microsoft Entra 解決方案,並使用下列活頁簿:

  • Microsoft Entra 登入會分析一段時間的登入,以查看是否有異常。 此活頁簿會依照應用程式、裝置和位置提供失敗的登入,讓您能夠一眼就注意到有異常情況發生。 請注意多個失敗登入。
  • Microsoft Entra 稽核記錄會分析系統管理活動,例如使用者變更 (新增、移除等等)、群組建立及修改。

新增防火牆活頁簿

建議您安裝來自內容中樞的適當解決方案,以便為您的防火牆新增活頁簿。

例如,安裝適用於 Microsoft Sentinel 的 Palo Alto 防火牆解決方案,以新增 Palo Alto 活頁簿。 此活頁簿可分析防火牆流量,提供防火牆資料與威脅事件之間的相互關聯,以及醒目提示各實體的可疑事件。

Palo Alto 活頁簿的螢幕擷取畫面。

為不同用途建立不同的活頁簿

建議您根據人物角色和其所要尋找的內容,為使用活頁簿的每個人物類型建立不同的視覺效果。 比方說,為網路管理員建立包含防火牆資料的活頁簿。

或者,根據您想要的查看頻率來建立活頁簿:無論您有想要每天檢閱的事情,還是有想要每小時檢查一次的其他項目。 例如,您可能想要每小時查看您的 Microsoft Entra 登入以搜尋異常情況。

使用下列查詢來建立會比較跨週流量趨勢的視覺效果。 視您的環境而定,切換您用來執行查詢的裝置廠商和資料來源。

下列範例查詢會使用來自 Windows 的 SecurityEvent 資料表。 您可能會想要將其切換為在其他任何防火牆上的 AzureActivityCommonSecurityLog 資料表上執行。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

具有多來源資料的範例查詢

您可能想建立一項查詢,其中併入多個來源的資料。 例如,建立會查看 Microsoft Entra 稽核記錄以了解是否有新建使用者的的查詢,並讓查詢檢查您的 Azure 記錄以了解使用者是否在建立後的 24 小時內就開始變更角色指派。 該可疑活動會透過下列查詢顯示在視覺效果中:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

如需詳細資訊,請參閱